Modifications entre les versions 1 et 21 (s'étendant sur 20 versions)
Version 1 à la date du 2008-10-19 18:28:40
Taille: 4167
Éditeur: ThomasNoël
Commentaire: dump de la config d'ejbca (début de)
Version 21 à la date du 2008-10-28 15:37:23
Taille: 16314
Éditeur: ThomasNoël
Commentaire: bon, là, il me faut une aspirine
Texte supprimé. Texte ajouté.
Ligne 1: Ligne 1:
= Profils des certificats d'autorité =

== Profil de certificat pour l'autorité racine ==		   <<TableOfContents>>

Ces paramètres ont été étudiés lors des premières tentative de mise en place d'une PKI via OpenSSL. Voir le résultat ici : http://git.auf.org/?p=pki;a=blob;f=archives/ca-certificates-auf/openssl-auf.cnf

= Profils des certificats (Certificate Profiles) =

== Profil de certificat pour l'AC racine ==
Ligne 11: Ligne 15:
  || Utiliser la contrainte de longueur de chemin de certification<<BR>>''Use Path Length Constraint'' || oui || ||
  || Contrainte de longueur de chemin <<BR>>''Path Length Constraint'' || 2 || ||		   || Utiliser la contrainte de longueur de chemin de certification<<BR>>''Use Path Length Constraint'' || non || ||
Ligne 15: Ligne 18:
  || Utiliser l’identifiant de la clé publique du sujet (Subject Key Identifier)<<BR>>''Use Subject Key Id'' || oui || ||
  || Utiliser l’identifiant de la clé publique de l’émetteur (Authority Key Identifier) <<BR>>''Use Authority Key Id'' || oui || ||
  || Utiliser un nom alternatif du sujet (Subject Alternative Name) <<BR>>''Use Subject Alternative Name'' || oui || ||
  || Nom alternatif du sujet (Subject Alternative Name) à critique<<BR>>''Subject Alternate Name Critical'' || non || ||
  || Utiliser des attributs d’annuaire du sujet (Subject Directory Attributes)<<BR>>''Use Subject Directory Attributes'' || non || ||
  || Utiliser les points de distribution de LCR (CRL Distribution Points)<<BR>>''Use CRL Distribution Point'' || oui || ||
  || Points de distribution de LCR (CRL Distribution Points) à critique<<BR>>''CRL Distribution Point Critical'' || non || ||
  || Utiliser un point de distribution de LCR déjà défini pour une AC<<BR>>''Use CA defined'' || oui || ||
  || Utiliser les points de distribution de delta LCR (Freshest CRL)<<BR>>''Use FreshestCRL extension'' || oui || ||
  || Utiliser l’extension Freshest CRL définie pour l’AC<<BR>>''Use CA Defined'' || oui || ||
  || Utiliser OCSP sans vérification (de signature) <<BR>>''Use OCSP No Check'' || non || ||
  || Utiliser les accès aux informations de l’émetteur (Authority Information Access) <<BR>>''Use Authority Information Access'' || oui || ||
  || Utiliser un serveur OCSP défini pour une AC<<BR>>''Use CA defined OCSP locator'' || oui || ||
  || URI de l’AC émettrice<<BR>>''CA issuer URI'' || `http://igc.auf.org/cert/ac-racine.crt` || ||
  || Utiliser les politiques de certification (Certificate Policies)<<BR>>''Use Certificate Policies'' || oui || ||
  || ''Certificate Policies Critical'' || non || ||
  || ''Certificate Policy Id'' || 2.5.29.32.0 || (anyPolicy) ||
  || ''CPS'' || `http://igc.auf.org/cps` || à écrire un jour `;)` ||
  || Utiliser les déclarations de certificats qualifiés (QC Statements)<<BR>>''Use Qualified Certificate Statement'' || non || ||
  || Usages de clé (Key Usage)<<BR>>''Key usage'' || Signature de certificast (keyCertSign)<<BR>>Signature de LCR (cRLSign) || ||
  || Autoriser la surcharge des usages de clé (Key Usage) <<BR>>''Allow Key Usage Override'' || non || ||
  || Utiliser les usages de clé étendus (Extended Key Usage)<<BR>>''Use Extended Key Usage'' || non || ||
  || Droits d’accès CVC<<BR>>''CVC access rights'' || aucun || ||
  || Utiliser un gabarit (template) MS<<BR>>''Use MS Template Value'' || non || ||
  || Utiliser le suffixe de CN <<BR>>''Use CN Postfix'' || non || ||
  || Utiliser les sous-éléments du DN du sujet<<BR>>''Use a Subset of Subject DN'' || non || ||
  || Utiliser les sous-éléments du nom alternatif du sujet<<BR>>''Use a Subset of Subject Alt. Name'' || non || ||
  || Tailles de clé disponibles<<BR>>''Available bit lengths'' || 2048 || ||
  || AC disponibles <<BR>>''Available CAs'' || Toutes les AC (''Any CA'') || ||
  || Type || AC racine (''Root CA'') || ||

== Profil de certificat pour une AC régionale ==

Identique à une AC racine, sauf :

  || || valeur || commentaire ||
  || Utiliser la contrainte de longueur de chemin de certification<<BR>>''Use Path Length Constraint'' || oui || ||
  || Contrainte de longueur de chemin <<BR>>''Path Length Constraint'' || 1 || ||
  || Type || AC subordonnée (''Sub CA'') || ||

== Profil de certificat pour une AC locale ==

Identique à une AC régionale, sauf :

  || || valeur || commentaire ||
  || Contrainte de longueur de chemin <<BR>>''Path Length Constraint'' || 0 || ||
  || Type || AC subordonnée (''Sub CA'') || ||

== Profil de certificat pour un serveur (OpenVPN ou SSL/TLS) ==

On déclare deux profils de certificats identiques, l'un pour "serveur OpenVPN" et l'autre pour "serveur SSL/TLS". Cela permet de les différencier au niveau des profils d'entités finales.

  || || valeur || commentaire ||
  || Durée de validité (jours)<<BR>>''Validity'' || 1825 jours || 5 ans ||
  || Autoriser la surcharge de la validité (requête CMP) <<BR>>''Allow validity override'' || oui || ||
  || Autoriser la surcharge d’extensions (requête CMP) <<BR>>''Allow extension override'' || oui || ||
  || Utiliser les contraintes de base (Basic Constraints)<<BR>>''Use Basic Constraints'' || oui || ||
  || Contraintes de base (Basic Constraints) à critique <<BR>>''Basic Constraints Critical'' || oui || ||
  || Utiliser les usages de clé (Key Usage)<<BR>>''Use Key Usage'' || oui || ||
  || Usages de clé (Key Usage) à critique <<BR>>''Key Usage Critical'' || non || ||
Ligne 31: Ligne 94:
  || Usages de clé (Key Usage)<<BR>>''Key usage'' || Digital Signature<<BR>>Key certificate sign<<BR>>CRL sign || ||   || Usages de clé (Key Usage)<<BR>>''Key usage'' || Signature numérique (digitalSignature)<<BR>>Non-répudiation (nonRepudiation)<<BR>>Chiffrement de clés (keyEncipherment)<<BR>>Chiffrement de données (dataEncipherment) || ||
Ligne 33: Ligne 96:
  || Utiliser les usages de clé étendus (Extended Key Usage)<<BR>>''Use Extended Key Usage'' || non || ||   || Utiliser les usages de clé étendus (Extended Key Usage)<<BR>>''Use Extended Key Usage'' || oui || ||
  || Usages de clé étendus (Extended Key Usage) à critique || non || ||
  || Usages de clé étendus (Extended Key Usage) || Authentification serveur (serverAuth)<<BR>>Horodatage (timeStamping) || ||
Ligne 37: Ligne 102:
  || Utiliser les sous-éléments du DN du sujet<<BR>>''Use a Subset of Subject DN'' || non || ||
  || Utiliser les sous-éléments du nom alternatif du sujet<<BR>>''Use a Subset of Subject Alt. Name'' || non || ||
  || Tailles de clé disponibles<<BR>>''Available bit lengths'' || 2048 || ||
  || AC disponibles <<BR>>''Available CAs'' || Any CA || ||
  || Type || Root CA || ||


== Profil de certificat pour une autorité régionale ==

== Profil de certificat pour une autorité locale ==

= Profils des certificats finaux =		   || Utiliser les sous-éléments du DN du sujet<<BR>>''Use a Subset of Subject DN'' || oui || ||
  || Sous-éléments du DN du sujet || CN, OU, O, L, ST, C || ||
  || Utiliser les sous-éléments du nom alternatif du sujet<<BR>>''Use a Subset of Subject Alt. Name'' || oui || ||
  || Sous-éléments du nom alternatif du sujet || Autre nom<<BR>>Nom RFC 822 (adresse de courriel)<<BR>>Nom DNS<<BR>>Adresse IP || ||
  || Tailles de clé disponibles<<BR>>''Available bit lengths'' || 1024 et 2048 || ||
  || AC disponibles <<BR>>''Available CAs'' || Toutes les AC (''Any CA'') || ||
  || Type || Entity (''Entité'') || ||
Ligne 52: Ligne 112:
== Profil de certificat pour un serveur OpenVPN ==

== Profil de certificat pour un serveur SSL/TLS ==		 Identique à un certificat de serveur, sauf :

  || || valeur || commentaire ||
  || Durée de validité (jours)<<BR>>''Validity'' || 730 jours || contrat typique de deux ans ||
  || Usages de clé (Key Usage)<<BR>>''Key usage'' || Signature numérique (digitalSignature)<<BR>>Non-répudiation (nonRepudiation)<<BR>>Chiffrement de clés (keyEncipherment)<<BR>>Chiffrement de données (dataEncipherment) || ||
  || Usages de clé étendus (Extended Key Usage) || Authentification client (clientAuth)<<BR>>Signature de code (codeSigning)<<BR>>Protection de courriel (emailProtection)<<BR>>Horodatage (timeStamping)<<BR>>IKE pour IPSec || ||
  || Sous-éléments du nom alternatif du sujet || Autre nom<<BR>>Nom RFC 822 (adresse de courriel)<<BR>>Adresse IP<<BR>>Nom DNS || ||

= Profils d'entités (End Entity Profiles) =

Pour chaque type d'entité, on créé un profil par région, qui sera disponible pour l'AC régionale correspondante.

== Profil d'entité pour un serveur OpenVPN ==

  || ''Variable'' || ''Valeur par défaut'' || ''Utilisation'' ||
  || Nom d'utilisateur || || requis & modifiable ||
  || Mot de passe || || requis & modifiable ||
  || Génération par lot || non || ||
  ||<-3> ''Champs du DN du sujet'' ||
  || CN || || requis & modifiable ||
  || OU || VPN || requis & non-modifiable ||
  || O || Agence universitaire de la Francophonie || requis & non-modifiable ||
  || L || || non-requis & modifiable ||
  || ST || || non-requis & modifiable ||
  || C || ;XX;XX;XX<<BR>>''(liste des pays de la région)'' || requis & modifiable ||
  ||<-3> ''Champs Subject Alternative Name'' ||
  || Nom DNS || || non-requis & modifiable ||
  || Adresse IP || || non-requis & modifiable ||
  || URI || || non-requis & modifiable ||
  ||<-3> ||
  || Inverser le DN et le nom alternatif de l’entité || non || ||
  || Domaine du courrier électronique || ''utiliser'' : auf.org || non-requis & modifiable ||
  || Champs Attributs d’annuaire du sujet (Subject Directory Attributes) || ''aucun'' || ||
  || Date de début de validité du certificat || ne pas utiliser || ||
  || Date de fin de validité du certificat || || utiliser & modifiable ||
  || Profil de certificats par défaut || Serveur OpenVPN || ||
  || Profil de certificats disponible || Serveur OpenVPN || ||
  || AC par défaut || ''AC de la région concernée'' || ||
  || AC disponibles || ''AC de la région concernée'' || ||
  || Token par défaut || Généré par l'utilisateur || ||
  || Tokens disponibles || Généré par l'utilisateur<<BR>>Fichier P12 (PKCS #12) || ||
  || Nombre de requêtes acceptées || ne pas utiliser || ||
  || Administrateur || ne pas utiliser || ||
  || Permettre la fusion des attributs du DN || non || ||
  || Envoyer la notification par courriel || ''à définir'' || ||
  || Impression des données utilisateur || ne pas utiliser || ||

== Profil d'entité pour un serveur SSL/TLS ==

  || ''Variable'' || ''Valeur par défaut'' || ''Utilisation'' ||
  || Nom d'utilisateur || www.domaine.org || requis & modifiable ||
  || Mot de passe || || requis & modifiable ||
  || Génération par lot || non || ||
  ||<-3> ''Champs du DN du sujet'' ||
  || CN || www.domaine.org || requis & modifiable ||
  || OU || ''Bureau ...'' || requis & non-modifiable ||
  || O || Agence universitaire de la Francophonie || requis & non-modifiable ||
  || L || || non-requis & modifiable ||
  || ST || || non-requis & modifiable ||
  || C || ;XX;XX;XX<<BR>>''(liste des pays de la région)'' || requis & modifiable ||
  ||<-3> ''Champs Subject Alternative Name'' ||
  || Nom DNS || www.domaine.org || requis & modifiable ||
  || Nom DNS || || non-requis & modifiable ||
  || Nom DNS || || non-requis & modifiable ||
  || Nom DNS || || non-requis & modifiable ||
  || Nom DNS || || non-requis & modifiable ||
  ||<-3> ||
  || Inverser le DN et le nom alternatif de l’entité || non || ||
  || Domaine du courrier électronique || ''utiliser'' : auf.org || non-requis & modifiable ||
  || Champs Attributs d’annuaire du sujet (Subject Directory Attributes) || ''aucun'' || ||
  || Date de début de validité du certificat || ne pas utiliser || ||
  || Date de fin de validité du certificat || || utiliser & modifiable ||
  || Profil de certificats par défaut || Serveur SSL/TLS || ||
  || Profil de certificats disponible || Serveur SSL/TLS || ||
  || AC par défaut || ''AC de la région concernée'' || ||
  || AC disponibles || ''AC de la région concernée'' || ||
  || Token par défaut || Généré par l'utilisateur || ||
  || Tokens disponibles || Généré par l'utilisateur<<BR>>Fichier P12 (PKCS #12) || ||
  || Nombre de requêtes acceptées || ne pas utiliser || ||
  || Administrateur || ne pas utiliser || ||
  || Permettre la fusion des attributs du DN || non || ||
  || Envoyer la notification par courriel || ''à définir'' || ||
  || Impression des données utilisateur || ne pas utiliser || ||

== Profil d'entité pour un personnel AUF ==

  || ''Variable'' || ''Valeur par défaut'' || ''Utilisation'' ||
  || Nom d'utilisateur || prenom.nom || requis & modifiable ||
  || Mot de passe || || requis & modifiable ||
  || Génération par lot || non || ||
  ||<-3> ''Champs du DN du sujet'' ||
  || CN || prenom.nom || requis & modifiable ||
  || OU || ''Bureau ...'' || requis & non-modifiable ||
  || O || Agence universitaire de la Francophonie || requis & non-modifiable ||
  || L || || non-requis & modifiable ||
  || ST || || non-requis & modifiable ||
  || C || ;XX;XX;XX<<BR>>''(liste des pays de la région)'' || requis & modifiable ||
  ||<-3> ''Champs Subject Alternative Name'' ||
  || Nom RFC 822 || Utiliser l’adresse de courriel de l’entité || requis & non-modifiable ||
  ||<-3> ||
  || Inverser le DN et le nom alternatif de l’entité || non || ||
  || Domaine du courrier électronique || ''utiliser'' : auf.org || requis & non-modifiable ||
  || Champs Attributs d’annuaire du sujet (Subject Directory Attributes) || ''aucun'' || ||
  || Date de début de validité du certificat || || utiliser & modifiable ||
  || Date de fin de validité du certificat || || utiliser & modifiable ||
  || Profil de certificats par défaut || Personnel AUF || ||
  || Profil de certificats disponible || Personnel AUF || ||
  || AC par défaut || ''AC de la région concernée'' || ||
  || AC disponibles || ''AC de la région concernée'' || ||
  || Token par défaut || Généré par l'utilisateur || ||
  || Tokens disponibles || Généré par l'utilisateur<<BR>>Fichier P12 (PKCS #12) || ||
  || Nombre de requêtes acceptées || ne pas utiliser || ||
  || Administrateur || ''utiliser'' || par défaut & non-requis||
  || Permettre la fusion des attributs du DN || non || ||
  || Envoyer la notification par courriel || ''à définir'' || ||
  || Impression des données utilisateur || ne pas utiliser || ||

Ces paramètres ont été étudiés lors des premières tentative de mise en place d'une PKI via OpenSSL. Voir le résultat ici : http://git.auf.org/?p=pki;a=blob;f=archives/ca-certificates-auf/openssl-auf.cnf

Profils des certificats (Certificate Profiles)

Profil de certificat pour l'AC racine

  		•

    valeur

    commentaire

    Durée de validité (jours)
    Validity

    9125 jours

    le maximum

    Autoriser la surcharge de la validité (requête CMP)
    Allow validity override

    oui

    Autoriser la surcharge d’extensions (requête CMP)
    Allow extension override

    oui

    Utiliser les contraintes de base (Basic Constraints)
    Use Basic Constraints

    oui

    Contraintes de base (Basic Constraints) à critique
    Basic Constraints Critical

    oui

    Utiliser la contrainte de longueur de chemin de certification
    Use Path Length Constraint

    non

    Utiliser les usages de clé (Key Usage)
    Use Key Usage

    oui

    Usages de clé (Key Usage) à critique
    Key Usage Critical

    oui

    Utiliser l’identifiant de la clé publique du sujet (Subject Key Identifier)
    Use Subject Key Id

    oui

    Utiliser l’identifiant de la clé publique de l’émetteur (Authority Key Identifier)
    Use Authority Key Id

    oui

    Utiliser un nom alternatif du sujet (Subject Alternative Name)
    Use Subject Alternative Name

    oui

    Nom alternatif du sujet (Subject Alternative Name) à critique
    Subject Alternate Name Critical

    non

    Utiliser des attributs d’annuaire du sujet (Subject Directory Attributes)
    Use Subject Directory Attributes

    non

    Utiliser les points de distribution de LCR (CRL Distribution Points)
    Use CRL Distribution Point

    oui

    Points de distribution de LCR (CRL Distribution Points) à critique
    CRL Distribution Point Critical

    non

    Utiliser un point de distribution de LCR déjà défini pour une AC
    Use CA defined

    oui

    Utiliser les points de distribution de delta LCR (Freshest CRL)
    Use FreshestCRL extension

    oui

    Utiliser l’extension Freshest CRL définie pour l’AC
    Use CA Defined

    oui

    Utiliser OCSP sans vérification (de signature)
    Use OCSP No Check

    non

    Utiliser les accès aux informations de l’émetteur (Authority Information Access)
    Use Authority Information Access

    oui

    Utiliser un serveur OCSP défini pour une AC
    Use CA defined OCSP locator

    oui

    URI de l’AC émettrice
    CA issuer URI

    http://igc.auf.org/cert/ac-racine.crt

    Utiliser les politiques de certification (Certificate Policies)
    Use Certificate Policies

    oui

    Certificate Policies Critical

    non

    Certificate Policy Id

    2.5.29.32.0

    (anyPolicy)

    CPS

    http://igc.auf.org/cps

    à écrire un jour ;)

    Utiliser les déclarations de certificats qualifiés (QC Statements)
    Use Qualified Certificate Statement

    non

    Usages de clé (Key Usage)
    Key usage

    Signature de certificast (keyCertSign)
    Signature de LCR (cRLSign)

    Autoriser la surcharge des usages de clé (Key Usage)
    Allow Key Usage Override

    non

    Utiliser les usages de clé étendus (Extended Key Usage)
    Use Extended Key Usage

    non

    Droits d’accès CVC
    CVC access rights

    aucun

    Utiliser un gabarit (template) MS
    Use MS Template Value

    non

    Utiliser le suffixe de CN
    Use CN Postfix

    non

    Utiliser les sous-éléments du DN du sujet
    Use a Subset of Subject DN

    non

    Utiliser les sous-éléments du nom alternatif du sujet
    Use a Subset of Subject Alt. Name

    non

    Tailles de clé disponibles
    Available bit lengths

    2048

    AC disponibles
    Available CAs

    Toutes les AC (Any CA)

    Type

    AC racine (Root CA)

Profil de certificat pour une AC régionale

Identique à une AC racine, sauf :

  • valeur

    commentaire

    Utiliser la contrainte de longueur de chemin de certification
    Use Path Length Constraint

    oui

    Contrainte de longueur de chemin
    Path Length Constraint

    1

    Type

    AC subordonnée (Sub CA)

Profil de certificat pour une AC locale

Identique à une AC régionale, sauf :

  • valeur

    commentaire

    Contrainte de longueur de chemin
    Path Length Constraint

    0

    Type

    AC subordonnée (Sub CA)

Profil de certificat pour un serveur (OpenVPN ou SSL/TLS)

On déclare deux profils de certificats identiques, l'un pour "serveur OpenVPN" et l'autre pour "serveur SSL/TLS". Cela permet de les différencier au niveau des profils d'entités finales.

  • valeur

    commentaire

    Durée de validité (jours)
    Validity

    1825 jours

    5 ans

    Autoriser la surcharge de la validité (requête CMP)
    Allow validity override

    oui

    Autoriser la surcharge d’extensions (requête CMP)
    Allow extension override

    oui

    Utiliser les contraintes de base (Basic Constraints)
    Use Basic Constraints

    oui

    Contraintes de base (Basic Constraints) à critique
    Basic Constraints Critical

    oui

    Utiliser les usages de clé (Key Usage)
    Use Key Usage

    oui

    Usages de clé (Key Usage) à critique
    Key Usage Critical

    non

    Utiliser l’identifiant de la clé publique du sujet (Subject Key Identifier)
    Use Subject Key Id

    oui

    Utiliser l’identifiant de la clé publique de l’émetteur (Authority Key Identifier)
    Use Authority Key Id

    oui

    Utiliser un nom alternatif du sujet (Subject Alternative Name)
    Use Subject Alternative Name

    oui

    Nom alternatif du sujet (Subject Alternative Name) à critique
    Subject Alternate Name Critical

    non

    Utiliser des attributs d’annuaire du sujet (Subject Directory Attributes)
    Use Subject Directory Attributes

    non

    Utiliser les points de distribution de LCR (CRL Distribution Points)
    Use CRL Distribution Point

    oui

    Points de distribution de LCR (CRL Distribution Points) à critique
    CRL Distribution Point Critical

    non

    Utiliser un point de distribution de LCR déjà défini pour une AC
    Use CA defined

    oui

    Utiliser les points de distribution de delta LCR (Freshest CRL)
    Use FreshestCRL extension

    oui

    Utiliser l’extension Freshest CRL définie pour l’AC
    Use CA Defined

    oui

    Utiliser OCSP sans vérification (de signature)
    Use OCSP No Check

    non

    Utiliser les accès aux informations de l’émetteur (Authority Information Access)
    Use Authority Information Access

    oui

    Utiliser un serveur OCSP défini pour une AC
    Use CA defined OCSP locator

    oui

    URI de l’AC émettrice
    CA issuer URI

    (aucun)

    Utiliser les politiques de certification (Certificate Policies)
    Use Certificate Policies

    non

    Utiliser les déclarations de certificats qualifiés (QC Statements)
    Use Qualified Certificate Statement

    non

    Usages de clé (Key Usage)
    Key usage

    Signature numérique (digitalSignature)
    Non-répudiation (nonRepudiation)
    Chiffrement de clés (keyEncipherment)
    Chiffrement de données (dataEncipherment)

    Autoriser la surcharge des usages de clé (Key Usage)
    Allow Key Usage Override

    non

    Utiliser les usages de clé étendus (Extended Key Usage)
    Use Extended Key Usage

    oui

    Usages de clé étendus (Extended Key Usage) à critique

    non

    Usages de clé étendus (Extended Key Usage)

    Authentification serveur (serverAuth)
    Horodatage (timeStamping)

    Droits d’accès CVC
    CVC access rights

    aucun

    Utiliser un gabarit (template) MS
    Use MS Template Value

    non

    Utiliser le suffixe de CN
    Use CN Postfix

    non

    Utiliser les sous-éléments du DN du sujet
    Use a Subset of Subject DN

    oui

    Sous-éléments du DN du sujet

    CN, OU, O, L, ST, C

    Utiliser les sous-éléments du nom alternatif du sujet
    Use a Subset of Subject Alt. Name

    oui

    Sous-éléments du nom alternatif du sujet

    Autre nom
    Nom RFC 822 (adresse de courriel)
    Nom DNS
    Adresse IP

    Tailles de clé disponibles
    Available bit lengths

    1024 et 2048

    AC disponibles
    Available CAs

    Toutes les AC (Any CA)

    Type

    Entity (Entité)

Profil de certificat pour un personnel AUF

Identique à un certificat de serveur, sauf :

  • valeur

    commentaire

    Durée de validité (jours)
    Validity

    730 jours

    contrat typique de deux ans

    Usages de clé (Key Usage)
    Key usage

    Signature numérique (digitalSignature)
    Non-répudiation (nonRepudiation)
    Chiffrement de clés (keyEncipherment)
    Chiffrement de données (dataEncipherment)

    Usages de clé étendus (Extended Key Usage)

    Authentification client (clientAuth)
    Signature de code (codeSigning)
    Protection de courriel (emailProtection)
    Horodatage (timeStamping)
    IKE pour IPSec

    Sous-éléments du nom alternatif du sujet

    Autre nom
    Nom RFC 822 (adresse de courriel)
    Adresse IP
    Nom DNS

Profils d'entités (End Entity Profiles)

Pour chaque type d'entité, on créé un profil par région, qui sera disponible pour l'AC régionale correspondante.

Profil d'entité pour un serveur OpenVPN

  • Variable

    Valeur par défaut

    Utilisation

    Nom d'utilisateur

    requis & modifiable

    Mot de passe

    requis & modifiable

    Génération par lot

    non

    Champs du DN du sujet

    CN

    requis & modifiable

    OU

    VPN

    requis & non-modifiable

    O

    Agence universitaire de la Francophonie

    requis & non-modifiable

    L

    non-requis & modifiable

    ST

    non-requis & modifiable

    C

    ;XX;XX;XX
    (liste des pays de la région)

    requis & modifiable

    Champs Subject Alternative Name

    Nom DNS

    non-requis & modifiable

    Adresse IP

    non-requis & modifiable

    URI

    non-requis & modifiable

    Inverser le DN et le nom alternatif de l’entité

    non

    Domaine du courrier électronique

    utiliser : auf.org

    non-requis & modifiable

    Champs Attributs d’annuaire du sujet (Subject Directory Attributes)

    aucun

    Date de début de validité du certificat

    ne pas utiliser

    Date de fin de validité du certificat

    utiliser & modifiable

    Profil de certificats par défaut

    Serveur OpenVPN

    Profil de certificats disponible

    Serveur OpenVPN

    AC par défaut

    AC de la région concernée

    AC disponibles

    AC de la région concernée

    Token par défaut

    Généré par l'utilisateur

    Tokens disponibles

    Généré par l'utilisateur
    Fichier P12 (PKCS #12)

    Nombre de requêtes acceptées

    ne pas utiliser

    Administrateur

    ne pas utiliser

    Permettre la fusion des attributs du DN

    non

    Envoyer la notification par courriel

    à définir

    Impression des données utilisateur

    ne pas utiliser

Profil d'entité pour un serveur SSL/TLS

  • Variable

    Valeur par défaut

    Utilisation

    Nom d'utilisateur

    www.domaine.org

    requis & modifiable

    Mot de passe

    requis & modifiable

    Génération par lot

    non

    Champs du DN du sujet

    CN

    www.domaine.org

    requis & modifiable

    OU

    Bureau ...

    requis & non-modifiable

    O

    Agence universitaire de la Francophonie

    requis & non-modifiable

    L

    non-requis & modifiable

    ST

    non-requis & modifiable

    C

    ;XX;XX;XX
    (liste des pays de la région)

    requis & modifiable

    Champs Subject Alternative Name

    Nom DNS

    www.domaine.org

    requis & modifiable

    Nom DNS

    non-requis & modifiable

    Nom DNS

    non-requis & modifiable

    Nom DNS

    non-requis & modifiable

    Nom DNS

    non-requis & modifiable

    Inverser le DN et le nom alternatif de l’entité

    non

    Domaine du courrier électronique

    utiliser : auf.org

    non-requis & modifiable

    Champs Attributs d’annuaire du sujet (Subject Directory Attributes)

    aucun

    Date de début de validité du certificat

    ne pas utiliser

    Date de fin de validité du certificat

    utiliser & modifiable

    Profil de certificats par défaut

    Serveur SSL/TLS

    Profil de certificats disponible

    Serveur SSL/TLS

    AC par défaut

    AC de la région concernée

    AC disponibles

    AC de la région concernée

    Token par défaut

    Généré par l'utilisateur

    Tokens disponibles

    Généré par l'utilisateur
    Fichier P12 (PKCS #12)

    Nombre de requêtes acceptées

    ne pas utiliser

    Administrateur

    ne pas utiliser

    Permettre la fusion des attributs du DN

    non

    Envoyer la notification par courriel

    à définir

    Impression des données utilisateur

    ne pas utiliser

Profil d'entité pour un personnel AUF

  • Variable

    Valeur par défaut

    Utilisation

    Nom d'utilisateur

    prenom.nom

    requis & modifiable

    Mot de passe

    requis & modifiable

    Génération par lot

    non

    Champs du DN du sujet

    CN

    prenom.nom

    requis & modifiable

    OU

    Bureau ...

    requis & non-modifiable

    O

    Agence universitaire de la Francophonie

    requis & non-modifiable

    L

    non-requis & modifiable

    ST

    non-requis & modifiable

    C

    ;XX;XX;XX
    (liste des pays de la région)

    requis & modifiable

    Champs Subject Alternative Name

    Nom RFC 822

    Utiliser l’adresse de courriel de l’entité

    requis & non-modifiable

    Inverser le DN et le nom alternatif de l’entité

    non

    Domaine du courrier électronique

    utiliser : auf.org

    requis & non-modifiable

    Champs Attributs d’annuaire du sujet (Subject Directory Attributes)

    aucun

    Date de début de validité du certificat

    utiliser & modifiable

    Date de fin de validité du certificat

    utiliser & modifiable

    Profil de certificats par défaut

    Personnel AUF

    Profil de certificats disponible

    Personnel AUF

    AC par défaut

    AC de la région concernée

    AC disponibles

    AC de la région concernée

    Token par défaut

    Généré par l'utilisateur

    Tokens disponibles

    Généré par l'utilisateur
    Fichier P12 (PKCS #12)

    Nombre de requêtes acceptées

    ne pas utiliser

    Administrateur

    utiliser

    par défaut & non-requis

    Permettre la fusion des attributs du DN

    non

    Envoyer la notification par courriel

    à définir

    Impression des données utilisateur

    ne pas utiliser

PKI/Profils (dernière édition le 2008-10-29 16:42:13 par ThomasNoël)